Bảng tỷ giá 
Bạn đang ở:
119 
Kẻ tấn công đã sử dụng một khai thác cho phép rút toàn bộ Pool thanh khoản dưới dạng phí.
Nhóm đằng sau nền tảng giao dịch phi tập trung Raydium (DEX) đã công bố chi tiết về cách thức xảy ra vụ hack ngày 16 tháng 12 và đưa ra đề xuất bồi thường cho các nạn nhân.
Theo một bài đăng trên diễn đàn chính thức từ nhóm, tin tặc đã có thể kiếm được hơn 2 triệu USD tiền mã hóa bằng cách khai thác lỗ hổng trong hợp đồng thông minh DEX cho phép quản trị viên rút toàn bộ Pool thanh khoản, bất chấp việc các biện pháp bảo vệ hiện có đang được áp dụng để ngăn chặn hành vi như vậy.
Nhóm sẽ sử dụng các Token chưa được cấp vốn của riêng mình để đền bù cho những nạn nhân bị mất Token Raydium, còn được gọi là RAY. Tuy nhiên, nhà phát triển không có stablecoin và các Token không phải RAY khác để bồi thường cho các nạn nhân, vì vậy họ đang yêu cầu một cuộc bỏ phiếu từ những người giữ RAY để sử dụng kho bạc của tổ chức tự trị phi tập trung (DAO) để mua các Token còn thiếu để hoàn trả cho những người bị ảnh hưởng bởi khai thác.
1/ Update on remediation of funds for recent exploit
— Raydium (@RaydiumProtocol) December 21, 2022
First, thanks for everyone's patience up to now
An initial proposal on a way forward has been posted for discussion. Raydium encourages and appreciates all feedback on the proposal.https://t.co/NwV43gEuI9
Theo một báo cáo khám nghiệm tử biệt, bước đầu tiên của kẻ tấn công trong quá trình khai thác là giành quyền kiểm soát khóa riêng tư Pool của quản trị viên. Nhóm không biết khóa này được lấy như thế nào, nhưng họ nghi ngờ rằng máy ảo giữ khóa đã bị nhiễm chương trình trojan.
Sau khi kẻ tấn công có chìa khóa, chúng đã gọi một chức năng để rút phí giao dịch thường được chuyển đến kho bạc DAO để sử dụng cho việc mua lại RAY. Trên Raydium, phí giao dịch không tự động chuyển đến kho bạc tại thời điểm hoán đổi. Thay vào đó, chúng vẫn ở trong nhà cung cấp thanh khoản Pool cho đến khi được quản trị viên rút lại. Tuy nhiên, hợp đồng thông minh theo dõi số tiền phí mà DAO phải trả thông qua các tham số. Điều này lẽ ra phải ngăn kẻ tấn công rút hơn 0,03% tổng khối lượng giao dịch đã xảy ra trong mỗi Pool kể từ lần rút cuối cùng.
Tuy nhiên, do một lỗ hổng trong hợp đồng, kẻ tấn công đã có thể thay đổi các tham số theo cách thủ công, khiến có vẻ như toàn bộ thanh khoản Pool là phí giao dịch đã được thu. Điều này cho phép kẻ tấn công rút tất cả số tiền. Khi tiền đã được rút, kẻ tấn công có thể hoán đổi chúng theo cách thủ công để lấy các Token khác và chuyển số tiền thu được sang các ví khác dưới sự kiểm soát của kẻ tấn công.
Để đối phó với hành vi khai thác, nhóm đã nâng cấp hợp đồng thông minh của ứng dụng để xóa quyền kiểm soát của quản trị viên đối với các tham số đã bị kẻ tấn công khai thác.
Trong bài đăng trên diễn đàn ngày 21 tháng 12, các nhà phát triển đã đề xuất một kế hoạch bồi thường cho các nạn nhân của cuộc tấn công. Nhóm sẽ sử dụng Token RAY chưa được cấp vốn của riêng mình để bồi thường cho những người giữ RAY đã bị mất Token do cuộc tấn công. Nó đã yêu cầu một cuộc thảo luận diễn đàn về cách thực hiện kế hoạch bồi thường bằng cách sử dụng kho bạc DAO để mua các Token không phải RAY đã bị mất. Nhóm đang yêu cầu tổ chức một cuộc thảo luận kéo dài ba ngày để quyết định vấn đề.
Vụ hack Raydium trị giá 2 triệu đô la Mỹ lần đầu tiên được phát hiện vào ngày 16 tháng 12. Các báo cáo ban đầu cho biết kẻ tấn công đã sử dụng chức năng rút tiền_pnl để xóa thanh khoản khỏi Pool mà không cần gửi Token LP. Nhưng vì chức năng này lẽ ra chỉ cho phép kẻ tấn công loại bỏ phí giao dịch, nên phương pháp thực tế mà chúng có thể rút toàn bộ Pool vẫn chưa được biết cho đến khi một cuộc điều tra được tiến hành.
Theo CoinTelegraph
|
|
